Active Directory OUでの一意の名前の要件?
私のActive Directory(win2k8r2)では、ユーザー名に制限があるようです。ユーザー名ではなく、表示名。同じ(異なるアカウント)の2人のユーザーを追加しようとしましたが、名前が重複しているため許可されませんでした。
同じことを2つのOUで試してもうまくいきます。
この制限を切り替える方法はありますか?同じOUに属し、たまたままったく同じ表示名を持つ2人のユーザーがいます。
ADでは、CN(アカウントの作成時に表示名から派生した初期値)は、同じOU内で一意である必要があります。その理由は、DistinguishedNameの値は一意である必要があり、DistinguishedNameはdomain\ou(s)\ CNで構成されているため、ドメインが同じでouが同じ場合、CNは異なる必要があるためです。 ADで最初にユーザーを作成すると、姓と名が結合されてCN属性とdisplayName属性(姓、名)が形成されますが、以下の例のように、作成後にこれらを変更できます。
回避策の例:
同じOUに移動する必要がある同じ名前の2人のユーザーがいる場合は、次のようにします。
- 最初のユーザーJoe Smithを作成します(DNはyourdomain.com\Accounting\"Smith、Joe"になります)
- 「Smith、Joe」の名前を「Smith、Joe L」のような名前に変更します(DNはyourdomain.com\Accounting\"Smith、Joe L."になります。)
- 2番目のユーザーJoe Smithを作成します(DNはyourdomain.com\Accounting\"Smith、Joe"になります)
- この時点で、2番目のジョースミスを "Smith、Joe"のままにするか、ステップ2のように変更できます。
これは基本的なLDAPの動作であり、ADだけではありません。 DNは一意の識別子で、URLに似ています。
この方法で機能しなかった場合、(dn = mydomain.com\Users\Accounting\Smith、Joe)を検索すると、会計部門のユーザーでJoe Smithのユーザーでなければならないと想定して、2つのユーザーオブジェクトが返されます。
この問題を回避するために、組織によっては、常に一意のCNとして従業員IDを使用する場合があります。これは、snおよびgivenName属性から派生したユーザーの名前には影響しません。